Политика обработки персональных данных

Политика обработки персональных данных

Сравнение внутреннего и внешнего аудита ИБ

Аудит системы информационной безопасности – эффективный инструмент для оценки защищенности бизнеса от киберугроз внутри и снаружи. Различия внешнего и внутреннего аудита позволяют сочетать их и таким образом получать объективную картину состояния уровня ИБ.

Разница в целях и обстоятельствах проведения внутренней и внешней проверки

Главная цель любого аудита ИБ – создание надежной или совершенствование действующей системы. Внутренний аудит ориентирован на контроль внутри компании и проводится систематически согласно нормам внутренней документации. Внешний – на формирование процессов, соответствующих законодательным нормам и лучшим мировым практикам. Его инициирует руководство и собственники бизнеса, или он проводится в соответствии с буквой закона.

Кто выступает аудитором?

Внутренняя проверка проводится силами предприятия – специалистами собственного департамента информационной безопасности. Для внешней привлекают аудитора из сторонней специализированной сертифицированной организации.

Подготовительные мероприятия и предмет аудита

Внутренний аудит требует разработки внутреннего документа, в котором по пунктам расписывают формат, направления, сроки и желаемый результат. Внешний – проводится на основании договора с компанией-аутсорсером, в котором тоже подробно расписаны все процессы.

Предметом внутренней проверки являются права доступа сотрудников, их учетные записи, степень информированности об ИБ и прочее. Внешний аудит ориентирован на степень защищенности IT-инфраструктуры бизнеса и ее процессы.

Отчетность аудита ИБ

Детальные отчеты по результатам проверки с рекомендациями по устранению слабых мест составляют после внутренней и внешней проверок. Разница заключается в том, что независимые эксперты способны дать куда более объективную оценку, чем сотрудники компании, которые являются заинтересованными лицами.

Доля внеплановых аудиторских проверок в общем объеме годового плана за последние два года

Большинство опрошенных (39%) заявили, что доля внеплановых аудиторских проверок в общем объеме годового плана СВА за последние два года составила 15-30%. 35% респондентов ответили, что доля внеплановых аудиторских проверок за последние два года составила менее 15%. 26% всех респондентов сообщили, что доля внеплановых аудиторских проверок составила свыше 30% в общем объеме годового плана за 2022 и 2023 годы.

Внутренний аудит информационной безопасности

Внутренняя проверка ИБ – комплекс мероприятий, которые входят в IT-проверку. Ее цель – обнаружить уязвимости, несоответствия и слабые места в системе безопасности бизнеса. Ряд мер внутреннего аудита осуществляется ежедневно специалистами компании, которые обязаны контролировать работу системы.

Внутренний аудит информационной безопасности проводится систематически и требует подготовки. Она заключается в предварительном согласовании процедуры. В процессе разрабатывают план, в котором по пунктам определяют весь процесс:

Способы проведения внутреннего аудита информационной безопасности

Существует несколько способов проведения внутреннего аудита информационной безопасности:

  • Документальный
  • Комбинированный
  • Технический
  • В виде учений

На период проведения аудита полномочия проверяющих могут быть расширены для проверки сотрудников или данных высокой степени защищённости.

Цели внутреннего аудита

Внутренний аудит направлен на проверку правильности организации процессов информационной безопасности бизнеса. Например, аудит может выявить учётные записи уволенных сотрудников, которые могут оставаться незаблокированными и позволить им получить доступ к конфиденциальной информации в информационной системе компании.

Преимущества внутреннего аудита

Проведение внутреннего аудита позволяет:

  • Регулярно проверять и улучшать систему информационной безопасности компании
  • Своевременно выявлять уязвимости и проблемы в ИБ
  • Повышать ответственность сотрудников за соблюдение правил безопасности

Частота проведения внутреннего аудита

Регулярность проведения внутреннего аудита определяется каждой компанией отдельно. Оптимальным решением является проведение аудита ежеквартально.

Направления, в которых внутренний аудит приносит наибольшую пользу

По мнению респондентов, в 2022-2023 годах внутренний аудит принес наибольшую пользу в следующих направлениях:

  • Повышение эффективности системы внутреннего контроля (47%)
  • Совершенствование/реинжиниринг бизнес-процессов (34%)
  • Сокращение затрат (12%)

Заключение

Внутренний аудит информационной безопасности является важным инструментом для обеспечения надежности и безопасности бизнеса. Регулярное проведение аудита позволяет выявлять проблемы и риски, а также улучшать систему защиты информации компании. Оптимальным решением является проведение внутреннего аудита ежеквартально, чтобы обеспечить непрерывность и эффективность процесса аудита.

Опыт компаний в области внутреннего аудита

Рассказывая об опыте компании, Валерия Лукина, начальник управления по внутреннему контролю и аудиту АО АВТОВАЗ, уточнила, что в ситуации постоянных изменений они продолжают использовать годовое планирование аудиторских проверок. Однако существует оговорка о возможном изменении плана для оперативного реагирования на вновь возникшие риски и/или срочные и актуальные запросы. В 2023 году более трети тем плана были отменены в связи с потерей актуальности, их заменили внеплановые задания.

Айк Карамян, директор внутреннего аудита, ПАО Вымпелком (Билайн), отмечает, что для поддержания релевантности функции критически важно соблюдать гибкость годового плана ВА, особенно в условиях высоких темпов изменений на конкурентных рынках и необходимости бизнеса приспосабливаться и преодолевать растущие вызовы, обусловленные внешними факторами.

Категории и объем обрабатываемых персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Оператор может осуществлять обработку персональных данных следующих категорий субъектов персональных данных в следующем объеме:

  • Соискателей работы — лиц, разместивших или предоставивших свое резюме (кандидаты на замещение вакантных должностей)
  • Работников — лиц, состоящих (состоявших) в трудовых отношениях с Оператором
  • Членов семьи работников Оператора
  • Клиентов и контрагентов Оператора – физических лиц, состоящих в договорных отношениях с Оператором, в том числе для выполнения условий пользовательских соглашений Сервисов
  • Представители (работники) клиентов и контрагентов Оператора (юридических лиц)
  • Посетителей — лиц, являющихся посетителями Оператора и участниками мероприятий, проводимых Оператором

Ключевые факторы, влияющие на деятельность СВА

Ключевыми факторами, которые влияют на деятельность СВА, респонденты называют:

  1. Недостаточный уровень зрелости системы корпоративного управления, управления рисками и внутреннего контроля (52%)
  2. Большие затраты времени на получение необходимой информации (46%)
  3. Недостаточная обеспеченность кадровыми ресурсами (43%)
  4. Недостаточный бюджет (обеспеченность финансовыми ресурсами) (25%)
  5. Недостаточная степень сотрудничества со стороны аудируемых подразделений (25%)
  6. Недостаточная степень технической оснащенности подразделения ВА (в т.ч. специализированным программным обеспечением) (22%)

Недостаточные полномочия сотрудников СВА назвали существенным фактором лишь 5% респондентов.

Дмитрий Шахов, руководитель по рискам и внутреннему контролю ООО АШАН

Дмитрий Шахов считает, что причиной высокого удельного веса низкого уровня зрелости корпоративного управления в компаниях нефинансового сектора является отсутствие законодательно установленных требований (за исключением публичных компаний) к такой системе. Руководство таких компаний часто недооценивает ценность создания эффективной системы корпоративного управления, считая, что она не поможет повышению стоимости компании. В таких компаниях служба внутреннего аудита может сыграть важную роль в разъяснении преимуществ правильно выстроенной системы корпоративного управления и предложить методику оценки ее эффективности.

Владимир Серкин, руководитель департамента внутреннего аудита, ПАО Вымпелком

Владимир Серкин утверждает, что службы внутреннего аудита могут (и должны) самостоятельно справляться с большинством негативных факторов, включая внешние. Например, чтобы ускорить процесс получения информации, можно использовать системную эскалацию задержек или выделить специального сотрудника, который будет получать данные из ИТ-систем непосредственно. Нежелание сотрудничать можно изменить через демонстрацию таких качеств, как объективность, компетентность и заинтересованность в пользе для бизнеса.

Николай Шумилов, начальник управления внутреннего аудита группы компаний Мангазея

Николай Шумилов поделился своей практикой использования максимально возможной автоматизации процесса получения информации о проверяемых процессах и повышения прикладных навыков сотрудников службы внутреннего аудита.

Бюджет СВА и перспективы

Основная часть бюджета службы внутреннего аудита на 2023 год приходится на расходы на персонал.

59% респондентов ожидают увеличения бюджета (31% – менее чем на 10%; 28% – более чем на 10%). 31% респондентов не предвидят изменений в бюджете, а сокращение бюджета ожидают 6% респондентов (3% – более чем на 10%; 3% – менее чем на 10%).

66% респондентов не ожидают увеличения численности персонала службы внутреннего аудита в 2024 году, в то время как 27% предполагают увеличение численности, 5% – сокращение и 2% не могут дать ответ.

Нагорнов Павел, директор по внутреннему аудиту ПАО «ФосАгро», отмечает, что персонал – главный актив внутреннего аудита. С учетом текущей ситуации на рынке персонала, когда, по многим оценкам, отмечается дефицит профессионалов во многих сферах, ожидать, что затраты на персонал снизятся, не стоит. «Кроме расходов на персонал в бюджеты СВА обычно закладываются расходы на командировки и обучение персонала, могут включаться в случае необходимости расходы на привлечение внешних экспертов и внедрение специализированных ИТ-решений, – уточняет П.Нагорнов. – Что касается командировок, то после пандемии их у всех стало меньше, поскольку проведение интервью и совещаний зачастую ушло в онлайн, но совсем отказаться от поездок невозможно и не нужно, поскольку, не увидев объект аудита вживую, сложно качественно изучить бизнес-процесс. Расходы на обучение зависят от того, насколько СВА и компания в целом идут в ногу со временем: новые технологии требуют новых знаний, это очевидно».

Алексей Сонин, директор Ассоциации «Институт внутренних аудиторов», уверен, что в эпоху перемен внутренний аудит должен не только трансформироваться сам, но и показывать пример другим в вопросе расширения кругозора, использования нестандартных подходов, освоения новых технологий. «Будущее в руках тех, кто готовится к нему сегодня, и будущее внутреннего аудита – в наших с вами руках, – говорит Алексей Сонин. – Внутренний аудитор нового времени – это человек неравнодушный, жаждущий перемен к лучшему, критически, но конструктивно мыслящий, умеющий быть убедительным, с хорошими аналитическими способностями, владеющий соответствующими навыками использования современных ИТ и решений».

Политика обработки персональных данных

Статья предоставлена Ассоциацией «Институт внутренних аудиторов»

Внешний аудит ИБ

Внешний аудит информационной безопасности является независимым, а потому более эффективным, обеспечивающим объективную оценку. Его проводят специализированные компании, которые располагают соответствующей лицензией. При выборе аудитора учитывают опыт работы, деловую репутацию и базу клиентов. Их положительные отзывы – наилучшее подтверждение профессионализма. Так, «Онланта» руководствуется международными стандартами, методологией управления ИТ COBIT и библиотекой инфраструктуры ИТ ITIL, гарантирует заказчикам конфиденциальность информации и соответствие требованиям Федерального закона «О персональных данных». Соблюдение вышеперечисленных условий – must-have для любого аутсорсера, который предлагает услуги внешнего аудита ИБ.

Виды внешнего аудита инфобезопасности

Выделяют разные способы проведения внешнего аудита. В зависимости от потребностей предприятия и законодательных норм их задействуют по отдельности или одновременно. Выделяют:

Независимые аудиторы выявляют потенциальные риски утечек сведений и сбои в работе систем по защите данных, анализируют СУИБ на предмет устойчивости к кибератакам, в том числе при помощи их имитации. Таким образом проверяют:

Имитация атаки (pentest) – это взлом системы, исключающий повреждение информации или сбои в её функционировании. По сути, аудитор играет роль злоумышленника, который старается обойти систему защиты или взломать её. По результатам Pentest формируют отчёт, в котором перечисляют выявленные уязвимости и рекомендации по их устранению.

Цель такого подхода – дать оценку рискам взлома системы и прогноз последствий и потерь при успешности атаки. Тест – неотъемлемая составляющая внешнего аудита ИБ. Он необходим для того, чтобы определить время, оборудование, инструменты, количество и уровень подготовки взломщиков. Таким образом можно определить эффективность защиты системы ИБ бизнеса с точки зрения хакеров. В процессе выявляют участки, которым нужно уделить особое внимание, поскольку взлом может произойти через них.

Подготовка и проведение внешнего аудита ИБ

Этапы проведения внешнего аудита информационной безопасности бизнеса:

Внешний аудит рекомендуется проводить каждый год, но лучше – каждые полгода. Для того чтобы правильно определить срок, нужно учитывать задачи бизнеса и влияние инфобезопасности на его функционирование. Главная ценность внешнего аудита инфобезопасности заключается в том, что компания получает независимую комплексную объективную оценку состояния системы и её соответствия законодательным нормам.

Учитывая полученные рекомендации, можно улучшить качество, эффективность и стабильность работы IT-инфраструктуры, минимизировать риски, оптимизировать затраты на техподдержку и сделать выгодные инвестиции в развитие инфосистемы бизнеса. Систематические внешние проверки помогут установить, сохранить и поддерживать порядок в IT-инфраструктуре путём наименьших затрат.

Заключительные положения

Локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, разработаны Оператором с учетом положений Политики и действующего законодательства Российской Федерации.

Политика в настоящей редакции вступает в силу с момента ее утверждения и действует до момента ее отмены или замены новой редакцией. Изменения в Политику вносятся Оператором в одностороннем порядке без осуществления каких-либо уведомлений. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики.

Политика распространяется на все персональные данные, обрабатываемые Оператором, а также на все процессы Оператора, в которых осуществляется обработка персональных данных субъектов персональных данных.

Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

К отношениям, непосредственно не урегулированным настоящей Политикой, применяются нормы действующего законодательства Российской федерации.

Распределение областей риска в планах аудитов

Как и в 2021 году, основную долю времени в планах аудита на 2023 год СВА уделяли операционным (30%), стратегическим (18%) и финансовым (14%) рискам. Распределение областей риска в планах аудитов на 2023 и 2024 гг. примерно одинаковое.

Дмитрий Шахов, руководитель по рискам и внутреннему контролю ООО «АШАН», считает такое распределение абсолютно предсказуемым, поскольку для реализации проверок в области операционного риска необходимо глубокое знание внутренних процессов компании, что всегда являлось сильной стороной СВА. Необходимость специальных знаний в области рисков ИБ, санкционных рисков приводит к тому, что компании предпочитают обращаться к внешним консультантам по таким вопросам. Финансовые же риски могут быть исследованы в рамках обязательного внешнего аудита.

Политика обработки персональных данных

Принципы и условия обработки персональных данных

Обработка персональных данных осуществляется Оператором с соблюдением принципов и условий, предусмотренных Федеральным законом «О персональных данных», на законной и справедливой основе.

При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Оператор исходит из того, что субъект персональных данных предоставляет достоверные, актуальные и достаточные персональные данные. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

Получение Оператором персональных данных осуществляется в устной, письменной форме, путем предоставления документов (в т.ч. их копий), содержащих персональные данные, в электронной форме посредством информационно-телекоммуникационной сети «Интернет».

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает представитель субъекта персональных данных. В таком случае полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в Федеральном законе «О персональных данных».

Согласие субъекта персональных данных на обработку персональных данных предоставляется Оператору в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом «О персональных данных».

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных включает в себя, в частности:

Обработка персональных данных допускается в следующих случаях:

Обработка специальных категорий персональных данных и биометрических персональных данных допускается в случаях, установленных федеральным законом.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Оператору соответствующего требования субъекта персональных данных.

Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, не больше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных и в случаях, установленных законодательством Российской Федерации.

Базы данных Оператора, содержащие персональные данные субъектов персональных данных, находятся на территории Российской Федерации.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Понравилась статья? Поделиться с друзьями:
СДО от Почты России
Добавить комментарий